DOI:10.16358/j.issn.1009-1300.20240045

【推荐阅读】刘凌旗,谢佳琦.美国零信任发展及其国防领域布局研究[J]. 战术导弹技术,2025 (1):26-32.

刘凌旗 1,2谢佳琦 1,2

1. 中国电子科技集团有限公司电子科学研究院,北京 100041;2. 中国电子科技集团发展规划研究院,北京 100043

摘 要随着全球数字空间竞争日趋激烈,网络安全防御成为构筑国家综合能力优势的重要环节。零信任作为一种新的网络空间安全范式,推动安全体系架构从“网络为中心”逐步走向“数据为中心”。结合国内外对零信任架构与理念的高度关注,采用文献调查与系统归纳相结合的方法,系统梳理了目前美国政府、国防部和各军兵种发展零信任的战略规划、技术方案开发和产品工程布局,重点围绕加快零信任与传统防护理念深度融合、打造国防零信任技术架构体系、试点应用改进零信任安全模式等方面提出合理性建议,为国防领域关键资产免受网络威胁及其现代化转型建设提供参考借鉴。

关键词零信任;网络安全;数据安全;身份认证;数据为中心;零信任战略

1 引 言

近年来,全球数字空间竞争日趋激烈,新一代信息技术加速融合,推动工业互联网、车联网等新型基础设施持续升级,网络安全防御已成为构筑国家综合能力优势的重要环节。云计算、物联网等新技术新应用的兴起,给传统边界安全理念提出了全新挑战。远程办公、多方协同已成为常态,物理安全边界日益模糊,导致了内部资源暴露面扩大的风险,信息设备、接入人员的管理难度和不可控安全因素骤然上升,对传统的部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等防护措施形成了巨大考验。此外,从网络安全到数据安全的转变源于数据价值被不断提升,而传统网络安全技术并无法涵盖所有数据板块,因此需要创新信任安全体系 [1]

零信任作为一种新的网络空间安全范式,受到美国防部和军兵种高度重视,其推动安全体系架构由“网络为中心”向“数据为中心”转变,同时引发了欧亚地区的广泛关注。回顾零信任架构的演进过程,美联邦机构并非强制性发挥其新技术裁判员及领路人的作用,而是顺应零信任理念形成基本共识并催生相关市场行业实践交流之后,借机推动零信任跃升为国家网络空间安全战略发展的整合器。美国家标准技术院、管理预算办公室和国防部等政府机构,通过发布参考标准、行政命令、实施战略等方式直接参与了零信任的宏观布局和实施部署。2024年1月,国家标准技术院NIST800-171第三次修订版完成公众评议流程,国防部将基于该文件推出年底的“网络空间安全成熟度模型认证”2.0版,通过人员、流程和技术的结合确保网络空间安全,推动国防部实现零信任的设想。本文聚焦于近期美国联邦政府和国防部在零信任架构方面的发展现状,分析其军兵种在零信任应用领域的大胆探索和布局,研提国防领域前沿新兴网络安全技术的发展建议。

2 零信任概念内涵

零信任并非全面替代现有网络安全范式,最初起源于本世纪初美国国防部和国防信息系统局的“黑核”(Black Core)理念,即基于边界的安全模型应当逐渐演进至基于单次交易的安全。2010年,Forrester研究咨询公司分析师约翰·金德瓦格最早提出“零信任”一词,主要瞄准传统网络架构中隐含式信任的潜在风险,他认为,安全手段取决于服务模式的更新,去边界化的时代将催生应对新时期网络安全挑战的新理念和新架构 [2]。根据美国《国防部零信任战略》文件,零信任指的是一套持续演进发展的网络安全范式,具有将防御重点从静态网络周界转移到用户、资产与资源的主要特质。零信任的核心要素在于不依据资产或用户在局域网/互联网的物理位置和网络位置,或是资产归属机构或个人的所有权来赋予信任。

在国内,中国计算机学会(CCF)标准工作委员会相关工作组近期组织相关单位编制了《零信任网络隐身协议规范》团体标准征求意见稿 [3]。其中,零信任术语的定义引用了国家标准《信息安全技术 零信任参考体系架构》的概念界定,即一种以资源保护为核心的网络安全理念。无论访问资源的主体或资源本身是否可信,主体和资源之间的信任关系都需要从零开始,通过持续环境感知与动态信任评估进行构建,从而实施访问控制。其参考体系架构图如图1所示。

▲ 图1 零信任参考体系架构图▲ Fig.1 Reference architecture diagram of zero trust

总体而言,零信任的基本原则在于“永不信任,始终验证”,集人员、流程和技术安全于一体,以期实现网络攻击面的最小化。他基于访问主体身份、网络环境、终端状态等尽可能多的信任要素,对所有用户实施持续验证和动态授权,以最小权限为基准构筑起网络安全的基石。零信任架构不仅关注身份验证和授权,还涉及数据保护、终端安全、链路安全和访问控制安全等方面。零信任模型适用于多种云计算、大数据、物联网等新兴技术不断兴起的企业IT架构环境,旨在构建一个以身份为中心的策略模型,并防止数据泄露。换言之,无论用户或设备是否位于组织机构的内部网络还是外部网络,都应该对其进行严格的身份验证和权限控制。在国防领域,实施零信任面临的挑战主要与该领域安全性要求、操作环境复杂性和对技术高可靠性、弹性的需求有关。

3 美国联邦政府部署的零信任的举措

3.1 美国联邦的零信任战略与政策发展

近年来,美国联邦各个机构出台了一系列零信任架构顶层文件,倡导探索开发零信任技术,从总体安全视角评估既定任务和业务流程的潜在威胁,积极应对和解决相关风险所带来的网络安全挑战,客观上推动了美国在大国竞争中跻身于网络安全前沿领域的全球领导者 [4]。随着国家标准技术院两版《零信任架构》 [ 5-6]、国家安全局《拥抱零信任安全模型》、预算管理局《联邦政府零信任战略》 [7]等系列政策的发布(见表1),2023年已经进入零信任战略与政策广泛推广的元年。

▼ 表1 美国联邦政府零信任相关政策沿革▼ Table 1 Evolution of zero trust policies of U.S. government

美国联邦机构容纳了超过13万名信息系统用户,因其蔓延全球的政治和文化影响力而成为遭受网络攻击行为的“重灾区” [9]。网络安全和基础设施安全局发布《零信任成熟度模型2.0》,根据联邦行政令《改善国家网络安全》、预算管理局备忘录《将美国政府引向零信任安全原则》对其零信任成熟度模型进行调整和完善,提供了实施零信任迁移计划的重要途径。国家安全局、联邦调查局、网络安全和基础设施安全局联合发布了《勒索软件安全指南》更新版,主要针对解决登录漏洞、密码脆弱性和社会工程学攻击等方面进行补充说明,为涉及敏感信息的政府部门提供了关于关键数据离线加密备份、网络安全事件响应计划落实、零信任架构部署等多项建议。

美国家标准技术院出台的《特别出版物800-207A指南》建议政府机构制定网络层和身份层零信任架构策略并配置技术组件,通过零信任确保基于云的应用程序安全措施,以期实现对本地或云中资源的安全访问。网络安全基础设施安全局和国家安全局发布《开发者和供应商挑战:身份和访问管理》,强调了联邦机构和行业在实施多因素身份验证等安全控制方面面临重大持续挑战,多因素身份验证的安全属性缺乏明确性,关键基础设施部门仍存在该服务部署方面的技术难题。同时,美国家安全局制定了一份网络安全信息表即零信任设备核心指南,提出了保护设备全生命周期免受低级别持续威胁的机制,旨在使联邦机构、合作伙伴能够运用零信任思维评估系统设备。该文件还列出了与成熟度级别相关的设备清单、检测和合规性、实时检查授权、远程访问保护、漏洞和补丁自主管理、集中式设备管理以及终端威胁检测响应等七项设备支柱功能。

3.2 零信任相关的联邦组织与机构

在组织管理方面,美网络安全基础设施安全局计划成立“零信任倡议办公室”,辅助联邦政府实施和推广零信任安全原则。该机构的设立将基于局机构先前安全框架的基调,尤其是《零信任成熟度模型》和《可信互联网连接3.0》,为联邦政府提供更全面的培训和资源,厘清零信任架构实施所需的技能与知识。该机构正在与预算管理局合作研究各机构在成熟度模型制定阶段取得更大突破的方式和路径,较为关注社区建设与合作,不断拓展与跨部门伙伴以及更广泛IT社区的合作关系,并负责为不同组织的零信任成熟度提供评估服务(见图2)。

在近两年联邦零信任战略推行期间,若干私营企业对其落地实施提供了重要助力,共同致力于持续发展零信任以应对复杂网络威胁环境。美国云安全公司Zscaler认为,所有机构应当设定其基本的零信任架构,达成弹性和安全的网络态势,政府零信任战略的实施已凸显了对网络安全方面的优先关注。人工智能伴随而来的新风险将重塑网络安全格局及其法规,需要通过公私合作高效共享信息并加强创新,发挥零信任对基础设施和数字安全的关键作用。安全独角兽公司Illumio表示,美政府在零信任政策制定、身份访问管理以及细分领域已取得显著进展,其落地实施仍然是一个持续的过程,在竞争激烈、威胁频出但预算严苛的情境下,政府继续将安全目标与其他组织目标放在首位至关重要。通用动力信息技术公司认为,政府零信任战略已加速安全现代化,有助于监控更多的安全日志,构建系统防御手段并增强网络弹性。相关机构仍需要改进其漏洞管理方式,利用新技术来实现机器速度级别的防御。日立集团表示,零信任原则的深化应用也得益于人工智能在数据分析和风险评估层面的优势能力,但还需进一步优化以满足零信任的动态安全要求。构建弹性基础设施的关键也在于对员工、承包商和第三方实体进行网络安全实践的培训和教育,以期实现更为安全可靠的数字环境。

4 美军部署零信任的举措

4.1 美国国防部的零信任部署

随着联邦政府顶层政策牵引和统筹协同,零信任架构部署的节奏和步伐得到持续推动,国防网络从传统网络安全架构向零信任架构的转变已成为渐进式发展的必然趋势。国防信息系统局发布的两版《零信任参考架构》 [ 10-11]、《国防部零信任战略》等顶层文件,为零信任架构在国防和军事领域的应用部署指明了实践方向(见表2)。国防部制定战略主要围绕用户、设备、应用程序和工作负载、数据、网络和环境、自动化和编排、可见性和分析7个支柱,设定了45项需具备的网络安全能力,具体推动实施零信任安全架构需要一个“集成产品”,而非一系列独立工具。2023财年的《国防授权法案》明确要求国防部和军方机构向零信任投资组合管理办公室提交各自实施计划,该办公室对43份材料进行审查并持续跟踪相关实施情况。

▼ 表2 美国防部零信任相关政策发展沿革▼ Table 2 Evolution of zero trust policies of U.S. DoD

国防部2024财年预算申请为网络活动规划了135亿美元,主要用于零信任框架的实施,以减少攻击面并保护军事部门和国防机构网络的数据,推进国防部下一代加密解决方案的开发和集成,实施网络安全成熟度模型认证计划以及对供应链风险搜集和管理进行投资,增强对国防工业基础的网络安全支持,并资助五支新的网络任务部队。国防部首席数字和人工智能办公室发布了“联盟联合全域指挥控制”数据集成层的信息征集公告,基于国防部数字战略,聚焦联合司令部、军种和作战支撑机构间的数据集成交互,构建基于零信任的数据栅格,通过开发开源的特定软件系统,实现数据可见性、连接简化及访问自动化。

国防信息系统局委托美泰公司设计零信任网络安全模型,根据美标准技术院的风险管理框架800-53评估安全功能,并在国防部首个零信任实验室中开发和构建具体产品。该局接管了国家安全局的网络防御Sharkseer工具并继续进行开发,为该开源行为分析平台增加多因素身份验证技术,逐步过渡到零信任模型,通过云安全方案优化系统的可扩展性、灵活性和集中管理性。该局公布的新兴技术观察清单也包括生成式人工智能、抗量子密码学、边缘计算、自主渗透测试、“雷霆穹顶” [12]零信任等主题,基本呈现了未来需重视的技术领域全貌,明确了技术跟踪方向以及对军方所需交付方式的关注。零信任网络安全技术也正应用于指挥控制系统,推动美国联合全域指控概念发展 [13]。近期,国家标准技术院NIST800-171第三版完成了修订评议,国防部据此计划推出的新版安全成熟度模型认证方式会通过人员、流程与技术的结合确保网络空间安全,帮助国防部实现零信任的设想。网络空间安全专家还认为,国防部落实零信任安全策略需要推动数据标记的标准化,利用智能机器学习工具提高数据标记的效率。

4.2 美国陆军的零信任部署

为落实国防部首席信息官办公室发布的《国防部零信任战略》部署要求,美陆军在2023年初便成立了零信任功能管理办公室,负责零信任架构建设工作,联合陆军网络企业技术司令部、网络卓越中心、装备司令部和项目执行办公室共同开展试点项目,以在战术边缘实施零信任计划,确保对其应用程序、数据和网络系统的访问安全。陆军首席信息安全官表示正制定具体实施计划,逐步迁移在零信任方面投资的基础设施和工具,并配合完成各种网络安全要素。

国家安全的实现离不开与盟友间高效进行信息共享,在战术边缘实现零信任能力将使作战人员具备关键的比较优势。美陆军在“护身军刀”多国军事联合演习期间,委托通用动力信息技术公司及其战略网络合作伙伴对战术层面的零信任功能进行了测试,首次在网络被拒绝、中断、间歇性服务的作战环境中测试边缘零信任能力,有助于推动国防部落地联合全域指挥控制计划。陆军小企业创新研究第三阶段任务授权网络安全软件产品供应商为其指控通信与战术项目执行办公室的系统和应用程序持续进行自动化渗透测试,软件工具Nova能够为军用软件工厂操作环境提供红队测试,帮助验证零信任架构。

4.3 美国海军的零信任部署

美海军通过开发和部署最佳技术解决方案,致力于推动信息现代化、创新和保护,构建竞争对手无法超越的数字优势。海军部首席信息官提出了实现海军信息优势愿景目标的6个重点领域,其中包括优化云信息环境、零信任实施等方面。海军部首席信息官发布《主要设计概念:实施零信任》文件,基于2022年《信息优势拱顶石设计概念》提出的现代化设计理念,旨在建立以身份认证为界限,通过有条件的数据、资源、应用程序和服务访问来加强信息安全,聚焦于资源可见性和多类别信息授权,提供跨网络、设备的动态用户安全访问权限,统一实现自动化网络防御及运维。海军部还发布首份《海军现代企业信息生态系统蓝图》,提出了信息系统现代化、零信任实施和网络转型三个战略重点,概述了该军种实现信息系统、流程和技术现代化的整体方法,并定义支持未来作战环境的架构特征。向现代信息生态系统的转变需要实现云迁移、网络现代化和数据中心整合等多种服务功能。

在产品研发和实战演习领域,美海军信息安全专家开发和测试一套新型身份、证书和访问管理(ICAM)系统,旨在将零信任应用程序及功能逐渐推广于整个海军与海军陆战队的作战网络,通过创建可行且安全的数字身份管理体系,作为海军推行一切零信任措施的基础。海军第10舰队宣称印太司令部在零信任方面投入了大量工作,为确保加强互操作性,其盟友多国任务网络已能实现零信任,并将在美日澳“利刃”(Keen Edge)演习中检验零信任技术方案的实际效果。该演练活动具体设置了通常的演练内容,也将仅允许国际伙伴按照授权访问零信任网络中的特定数据,以期检验零信任方案能否确保美军和盟友国家之间能够安全高效地共享信息。零信任技术的采用也许会开启“自带设备”参演的新模式。

4.4 美国空军和太空军的零信任部署

美国空军2023~2028财年《首席信息官公共战略》要求未来五年重点发展微隔离、软件定义边界等关键技术,推动空军相关基地的信息系统逐步向零信任架构迈进,以期建立多层次作战环境安全体系,加强整体网络安全防御水平。空军零信任职能管理办公室已经制定了指导空军和太空军的零信任实施计划,旨在压缩军队所受网络攻击的范围,提高网络资产的可见性与可控性,并对网络攻击事件做出更快、更有效的反应。空军零信任实施计划包括用户、设备、网络、数据、应用、自动化和可见性7个部分,已经成为国防部推行零信任战略的关键组成。

空军网络司令部通过一系列零信任试点工程,为其后续大范围推广零信任架构奠定基础,目前已在佛罗里达州帕特里克太空部队基地的发射系统及加利福尼亚州比尔空军基地的基地运营系统中部署了零信任架构,把零信任作为提高信息战能力的核心技术,为服务全域作战提供支撑。太空军委托Xage安全公司开发基于身份的网络安全网格,通过零信任模型解决方案持续审查上网者身份并监控其行为,以期保护基础设施网络安全。近期,空军创新实验室AFWERX授予美国量子安全公司小企业创新研究合同,利用业界首个基于软件的端到端后量子通信解决方案,QuProtect软件融合了零信任、下一代后量子加密、加密敏捷性、量子强度密钥、高可用性、易于部署和主动防御等特点,形成了全面可互操作的网络安全套件,以保护具有量子弹性的加密通信和全周期数据。

5 发展推进零信任的启示建议

5.1 推动零信任嵌入现行网络防护体系

国内近日发布了网络安全领域首个规范零信任理念的国家标准《网络安全技术 零信任参考体系架构》(GB/T 43696-2024),为化解当前基本认识不统一、概念混淆等问题提供了基本参考。但标准从制定出台、正式实施到实际应用推进尚需一些时日,短期内仍存在需求侧政策扶持力度弱、文化理念未普及、与现行安全手段关系不明等现象。零信任架构标准的适时产生为应对目前复杂网络和多样化应用场景安全威胁创造了一种有效途径,同时并非意味着传统纵深防御手段及其安全价值的完全失效,边界防护仍在发挥着筑牢网络空间安全的关键作用和职能。

推动传统静态边界安全向动态防御思想转变,建议应做好顶层设计和总体考虑,以建设先进国防科技工业体系为目标,推动零信任架构与传统安全理念的结合。由相关行政主管部门主导建设国防零信任发展机制,与国家整体安全政策和军事战略紧密对接,设计提出实施零信任技术的目标思路、周期安排和总体路线图。组织编制区域范围内国防零信任架构行动计划和指导目录,明确关键环节标准和安全风险防范机制,加强政策扶持和方向引导,形成审慎包容的监管机制和资源配置模式,避免盲目投资。

5.2 布局基于数据的零信任支撑技术体系

零信任并非单一的网络架构或技术产品,而是一套体系化的理念范式、战略政策和架构标准,关系到大型组织机构如何评估其信息化目标的风险。这种策略适用于用户、设备、应用程序和数据等任何类型的网络访问。有些网络安全企业已经开始从身份、证书、访问管理、操作、终端、宿主环境和互联基础设施等视角来综合构建端到端的安全架构能力,个别军工科研单位也在启动零信任技术发展趋势的研究论证,但在实施难度、技术布局和覆盖范围等方面还面临一定挑战。

探索以数据为中心的零信任安全技术研发,建议应着眼身份验证、微分段、加密和安全分析等技术最新进展,设计较为灵活的零信任架构,以适应不断变化的威胁环境和操作需求,基于统一的技术标准和协议,跨平台、跨系统开展有效集成和通信,以支持零信任架构的布局实施。为实现技术优化与整合,开发部署高性能的零信任解决方案,确保身份验证、访问控制和数据加密等核心功能适应特定运行环境,最小化对实时通信和数据传输的影响。同时,优化网络基础设施,确保零信任实施后的网络流量得到有效管理,快速响应和处理安全事件,避免在战术边缘和远程操作环境中发生不必要的延迟。

5.3 试点应用改进零信任安全发展模式

零信任的核心在于打破对内部网络或系统的默认信任,对所有访问行为进行持续的验证和授权。美国防部在世界范围内运营了上千个网络信息系统,已将发展零信任作为解决网络问题的长远战略之一。尽管其得到了学术界的高度重视和安全企业的普遍关注,但国内零信任的落地发展还处于初期应用阶段,国防领域更需要考虑目前分网分域治理的现实基础,以及封闭隔离网络和外部公共网络安全交互的保障需求。

在研究零信任安全方案的落地推广问题上,建议试点采取分阶段方法实施,优先在关键领域和高风险环境中部署,对现有的网络基础设施进行现代化改造,再逐步进行试点扩展 [14]。定期进行零信任环境下的网络行动演练,确保执行人员熟悉零信任操作,提高在实际环境中的适应性和效率。通过数据访问效率、系统易用性、安全性感知、用户培训时长等定性和定量指标,对国防零信任架构的实施效果进行评估,识别系统存在的漏洞和不足,并根据评估结果进行必要的调整和改进,有助于平衡应用安全性和用户体验,确保零信任技术架构适应不断变化的网络威胁环境。

6 结 论

综合分析美国政府、各军兵种的顶层规划和项目布局,可以看出其将零信任技术部署于生产系统的基本思路和执行计划,包括现有老旧设备在内的所有信息系统都将纳入,以实现各项零信任能力和网络弹性。审视国内实际发展情况,零信任作为一种新兴概念还未完全达成定义上的共识,但其核心要素和发展趋势已经得到认可,不失为兼顾网络结构、服务功能、安全风险、运行模式等方面考虑后,创新构建出的复杂网络环境中安全架构的一种全新理念、思路和方法,将成为与人工智能安全、区块链技术 [15]共同发展的热点领域,并趋于互为补充。虽然零信任架构不能应对我国所有网络空间安全问题,但其在提升整体信息系统安全效益方面的能力毋庸置疑,应统筹推广以数据为中心的安全策略和网络分割技术,坚持多因素认证和最小权限原则,对遗留系统进行现代化改造,建立实时的持续监控系统,利用自动化工具快速检测和响应安全事件,保护国防关键资产免受网络攻击威胁。

本文来源:《战术导弹技术》2025年第1期

声明:本文来自战术导弹技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。